Sicurezza, come sbanda l’automotive

Sicurezza, come sbanda l’automotive

Jeep Cherokee

Esperti di sicurezza presenteranno al Def Con il loro rapporto sulle minacce che incombono con le automobili connesse: nel loro esperimento hanno già cyberattaccato una Jeep Cherokee. Il legislatore statunitense già corre ai ripari.

Gli esperti di sicurezza Charlie Miller e Chris Valasek hanno messo nuovamente alla prova la sicurezza della tecnologia che anima le automobili connesse, arrivando questa volta a operare su una Jeep Cherokee che viaggiava sull’autostrada a 70 miglia all’ora.

Già nel 2013 i due si erano distinti per un attacco informatico con il quale avevano preso il controllo dei sistemi informatici di una Toyota Prius e di una Ford Escape: dimostrarono come fosse possibile azionare improvvisamente i freni a una velocità di 128 chilometri orari, far vibrare il volante, accelerare i giri del motore e addirittura inibire l’uso dei freni quando l’auto viaggia a bassa velocità.

ome nel caso precedente, Miller e Valasek presenteranno il loro lavoro alla conferenza per hacker Def Con: l’ultimo loro studio ha analizzato in profondità i software impiegati all’interno delle autovettura a supporto del guidatore. Hanno così mostrato come la presenza di bug e vulnerabilità apra la strada a diversi tipi di attacchi informatici cui cui eventuali malintenzionati potrebbero mettere a rischio la sicurezza dell’autovettura, del guidatore e di chi ha la sfortuna di trovarsi sulla traiettoria di un’auto comandata da remoto.

Nel loro esperimento illustrato in anteprima a Wired, l’autista della Jeep Cherokee – avvertito della simulazione di attacco informatico – si trovava sull’autostrada quando ha prima sentito le ventole dell’aria condizionata sparare al massimo della potenza aria fredda, poi la radio cambiare stazione ed alzare il volume al massimo, poi verificato l’impossibilità di spegnerla; successivamente ha visto attivarsi i tergicristallo e gli schizzi d’acqua per pulire i vetri e si è ritrovato a guardare l’immagine di Charlie Miller e Chris Valasek, improvvisamente apparsa sul display digitale centrale dell’auto.
Alla fine gli hacker hanno disabilitato il controllo dell’autista sull’acceleratore facendo inesorabilmente rallentare la jeep, lo hanno spaventato disabilitando anche il freno e spingendolo a svoltare fuori strada per cercare di fermare il veicolo.

Tecnicamente i due hacker hanno condotto l’attacco prendendo controllo del Cherokee via wireless, passando per la connessione Internet del sistema di intrettaneimento dell’automobile: riferiscono di poter anche raccogliere dati dal gps e dagli altri sistemi di controllo dell’autoveicolo.

Naturalmente dell’attacco dei due ricercatori è stata informata Chrysler, ben prima che i risultati e le vulnerabilità fossero resi pubblici, e l’azienda automobilistica ha provveduto per tempo ad aggiornare il suo sistema e correggere le vulnerabilità individuate, distribuendo l’update attraverso il suo dashboard Uconnect.

Per il resto Chrysler (come gli altri produttori precedentemente chiamati in causa) si era limitata a dire che gli attacchi sperimentati sarebbero stati possibili solo grazie all’accesso fisico alle vetture interessate: tuttavia anche nei sistemi wireless, ed in particolare nelle connessioni Bluetooth, i ricercatori hanno avuto modo di individuare vulnerabilità.

L’ufficio stampa EMEA (Europe, Middle East and Africa) di FCA precisa inoltre che ha un team System Quality Engineering che si occupa specificatamente anche di standard di cybersicurezza e che in ogni caso l’esperimento è stato condotto attraverso un modem cellulare, funzione non disponibile per i veicoli venduti fuori dagli Stati Uniti.

In ogni caso l’esperimento assume toni assolutamente più preoccupanti considerando che sono sempre maggiori le componenti software all’interno delle auto, tanto che gli attacchi ai sistemi di automotive sono già da tempo una realtà, e soprattutto se si pensa alla prospettiva – auspicata per esempio da Google e dal suo progetto di Google Car – di automobili interamente automatizzate, che non necessitano più dell’intervento di un guidatore umano e lasciano ad un computer collegato il pieno controllo del veicolo.

Anche per questo diverse proposte di legge, soprattutto negli Stati Uniti, cercano di affrontare il problema: ad occuparsi fin da subito della questione è stato per esempio il Senatore Markey, che in più occasioni ha invocato l’intervento legislativo nel settore a tutela degli automobilisti.
L’ultima idea, presentata insieme al Senatore Blumenthal, è quella di stabilire una serie di standard minimi di sicurezza e regole per garantire la trasparenza e la protezione dei dati e della privacy degli utenti.

Gli attivisti di Electric Frontier Foundation, dal canto loro, chiedono maggiori libertà per la ricerca sui software e in ambito di sicurezza informatica, ed in particolare invocano la previsione di eccezioni specifiche nella Section 1201 del Digital Millennium Copyright Act: tale normativa proibisce l’aggiramento delle misure di sicurezza tecnologica adottate dai produttori a tutela dei propri software ed impedisce non solo la violazione della proprietà intellettuale, ma di fatto anche la ricerca di vulnerabilità e bug da parte di soggetti terzi come sono Miller e Valasek.

In posizione diametralmente opposta FCA, il cui l’ufficio stampa EMEA specifica ancora che l’azienda “in nessuna circostanza condona o crede che sia appropriato diffondere informazioni ed istruzioni che possono potenzialmente incoraggiare, o permettere ad hacker di ottenere un accesso non autorizzato ed illegale ad i veicoli”.

Sempre nell’ambito dei software dedicati all’automotive, poi, EFF chiede la liberalizzazione della competizione ed in particolare la possibilità da parte di sviluppatori terzi di entrare in concorrenza con la casa produttrice per l’offerta di software di cui dotare le macchine.